База Microsoft Careers могла бути скопійована або змінена

132

Незалежні експерт з інформаційної безпеки Кріс Вікері (Chris Vickery) виявив серйозну проблему в безпеці бази даних сайту Microsoft Careers. Це сталося через погану налаштування MongoDB, яка обслуговується для Microsoft компанією Punchkick Interactive.

Конфіденційні дані могли потрапити до рук зловмисників, які могли бути змінені. На доказ виявленої проблеми Кріс відправив у корпорацію ім’я, email адресу, хеш пароля і токени менеджера Microsoft Global Employment Керрі Шепро (Karrie Shepro). Треба відзначити, що вже через годину помилка в налаштуванні була усунена.

Однак інцидент демонструє звичайно ж серйозну проблему компетентності підрядника корпорації з-за якого величезна база могла бути скомпрометована і використана в своїх цілях зловмисниками. Такі інциденти відбуваються іноді з-за необережності чи неуважності адміністраторів БД.